With urgent measure issued on 7 July 2022, the Italian Privacy Authority warned the Tik Tok platform that, in the absence of explicit consent, it is unlawful to process personal data stored on users’ devices in order to profile them and send them personalised advertising.
The case had resulted from the announcement in June 2022 that the well-known social network would change its privacy policy as of 13 July 2022, informing users that, as of that date, individuals over the age of 18 would be reached by personalised advertising based on their activity on the Tik Tok app. The processing of personal data would take place, as stated by the Company, on information automatically collected and stored on users’ devices.
Tik Tok had specified that the legal basis of the aforementioned processing was to be found in the legitimate interest pursued by the Company, its advertising partners and its users, rather than in the express consent of the data subjects, as had previously been the case.
In the course of the preliminary investigation, Tik Tok had stated that it had carried out all the appropriate assessments in the light of the privacy legislation in force, including an impact analysis, following which the balance between the rights and interests involved had been found to be satisfied. The Company had also pointed out that it had published an updated privacy policy, that it had informed users by means of a pop-up in the Tik Tok app and, finally, that it had adopted technical and human processes and procedures to verify users’ age.
At the outcome of the investigation, the Authority noted several critical aspects in the reply provided by Tik Tok. In particular, according to the Authority, it had not been explained by the company what was the legitimate interest pursued by the data controller, by third parties and by the users themselves; it had not been specified whether the processing also concerned special categories of personal data and what, in that case, was the exception provided for by Article 9 (2), of Regulation (EU) 2016/679 (GDPR), such as to justify it; the age verification measures had not been represented and it could not be ruled out that personalised advertising could also be aimed at children under 18, and even children under 14; finally, with high probability, profiling operations could be carried out in the absence of the necessary guarantees.
The Authority, therefore, referred to Article 5 (3) of Directive 2002/58/EC (the so-called e-privacy directive), according to which ‘for the storage of information, or access to information already stored, in the terminal equipment of a subscriber or user’, the consent of the data subject is required. The Authority also specified that even profiling cookies can only be used after the user’s informed consent has been obtained, as set out in Article 122 of Legislative Decree 196/2003 (Privacy Code), introduced into our legal system following the transposition of the above mentioned e-privacy directive.
In light of the regulatory framework referred to above, the Authority ruled out that legitimate interest could represent a suitable legal basis for the processing of users’ personal data for the purposes of sending personalised advertising that Tik Tok would have wished to undertake as from 13 July 2022.
The Authority, in making such a consideration, took the view that Tik Tok’s choice to base such processing on legitimate interest was merely instrumental to the pursuit of its own objectives, pointing out how, instead, the choice of legitimate interest as the legal basis for processing must be adopted with extreme caution, at the outcome of an in-depth weighing of the interests involved. In essence, the Authority pointed out that legitimate interests can only represent an appropriate legal basis for processing only where they prevail, in concrete terms, over the rights, freedoms and interests of the data subjects, a circumstance that is not present in this case.
Moreover, the Authority emphasised that recourse cannot be had retroactively – as Tik Tok would have done – to the legitimate interest, since the data controller must identify the legitimate legal basis before proceeding to collect the data. Finally, the Authority pointed out the very high probability that users’ particular data were also being processed and the absence of elements to identify with certainty persons over the age of 18.
Therefore, according to the Authority, the processing of personal data of users over the age of 18 for the purpose of administering personalised advertising, which Tik Tok is alleged to have carried out by profiling their behaviour within social networks, through the automatic collection of information stored on the devices, cannot be based on legitimate interest, as it would otherwise constitute a violation of Article 5 (3) of the e-privacy Directive and Article 122 of the Privacy Code.
Following the warning received from the Authority, the Company has, therefore, suspended the switch to legitimate interest as the legal basis of the aforementioned processing.
***
PRIVACY E LEGITTIMO INTERESSE: IL CASO TIK TOK
Con provvedimento d’urgenza dello scorso 7 luglio 2022, il Garante per la protezione dei dati personali ha avvertito la piattaforma Tik Tok che, in assenza di esplicito consenso, è illecito il trattamento dei dati personali archiviati nei dispositivi degli utenti per profilarli ed inviare loro pubblicità personalizzata.
Il caso era scaturito dall’annuncio con il quale, nel giugno 2022, il noto social network aveva prospettato la modifica della propria privacy policy a partire dal 13 luglio 2022, informando gli utenti che a decorrere da tale data i soggetti maggiori di 18 anni sarebbero stati raggiunti da pubblicità personalizzata sulla base dell’attività svolta sull’app di Tik Tok. Il trattamento dei dati personali si sarebbe svolto, come dichiarato dalla Società, sulle informazioni raccolte automaticamente ed archiviate sui dispositivi degli utenti.
Tik Tok aveva precisato che la base giuridica del trattamento suddetto andava individuata nel legittimo interesse perseguito dalla Società, dai suoi partner pubblicitari e dai suoi utenti, anziché nel consenso espresso degli interessati, come invece era avvenuto in precedenza.
Nel corso dell’istruttoria, Tik Tok aveva dichiarato di aver effettuato tutte le opportune valutazioni alla luce della vigente normativa in materia di privacy, inclusa un’analisi di impatto, a seguito della quale era stato ritenuto soddisfatto il bilanciamento tra i diritti e gli interessi coinvolti. La Società, inoltre, aveva evidenziato di avere pubblicato un’informativa sulla privacy aggiornata, di averne informato gli utenti tramite un pop-up nell’app Tik Tok e, infine, di aver adottato processi e procedure tecniche e umane per verificare l’età degli utenti.
All’esito dell’istruttoria, l’Autorità Garante ha rilevato diverse criticità nella risposta fornita da Tik Tok. In particolare, secondo il Garante, non era stato esplicitato dalla Società quale fosse il legittimo interesse perseguito dal titolare, da terzi e dagli stessi utenti; non era stato precisato se il trattamento riguardasse anche dati particolari e quale fosse, in tal caso, l’eccezione prevista dall’art. 9, par. 2, del Regolamento (UE) 2016/679 (GDPR), tale da giustificarlo; non erano state rappresentate le misure di verifica dell’età e non poteva escludersi che la pubblicità personalizzata potesse essere rivolta anche a minori di 18 anni, e persino a minori di 14 anni; infine, con elevata probabilità, potevano essere svolte operazioni di profilazione in assenza delle necessarie garanzie.
L’Autorità ha, pertanto, richiamato l’art. 5, par. 3, della direttiva 2002/58/CE (c.d. direttiva e-privacy), ai sensi del quale “per l’archiviazione di informazioni, o l’accesso a informazioni già archiviate, nell’apparecchiatura terminale di un abbonato o utente” è necessario il consenso dell’interessato. Il Garante ha, altresì, precisato che anche i cookie di profilazione possono essere utilizzati esclusivamente previa acquisizione del consenso informato dell’utente, come stabilito dall’art. 122 del D.Lgs. 196/2003 (Codice Privacy), introdotto nel nostro ordinamento a seguito del recepimento della direttiva e-privacy sopra citata.
Alla luce del quadro normativo sopra richiamato, l’Autorità ha escluso che il legittimo interesse possa rappresentare una idonea base giuridica per il trattamento dei dati personali degli utenti ai fini dell’invio di pubblicità personalizzata che Tik Tok avrebbe voluto intraprendere a partire dal 13 luglio 2022.
Il Garante, nel formulare tale considerazione, ha ritenuto che la scelta di Tik Tok di basare tale trattamento sul legittimo interesse fosse meramente strumentale al perseguimento dei propri obiettivi, evidenziando come, invece, la scelta del legittimo interesse quale base giuridica del trattamento debba essere adottata con estrema prudenza, all’esito di un’approfondita attività di ponderazione degli interessi in gioco. In buona sostanza, ha rilevato l’Autorità, il legittimo interesse può rappresentare un’idonea base giuridica del trattamento solo laddove lo stesso prevalga, in concreto, sui diritti, sulle libertà e sugli interessi degli interessati, circostanza questa non ravvisabile nel caso di specie.
Peraltro, l’Autorità ha sottolineato come non possa ricorrersi retroattivamente – come invece avrebbe fatto Tik Tok – al legittimo interesse, dovendo il titolare del trattamento individuare la base giuridica legittima prima di procedere alla raccolta dei dati. Infine, l’Autorità ha evidenziato l’elevatissima probabilità che fossero trattati anche dati particolari degli utenti e l’assenza di elementi per identificare con certezza i soggetti maggiori di età.
Pertanto, secondo l’Autorità Garante, il trattamento dei dati personali degli utenti maggiorenni al fine di somministrare pubblicità personalizzata, che Tik Tok avrebbe svolto profilando i loro comportamenti all’interno dei social network, attraverso la raccolta automatica delle informazioni archiviate sui dispositivi, non può basarsi sull’interesse legittimo, configurandosi diversamente una violazione dell’art. 5, par. 3, della direttiva e-privacy e dell’art. 122 del Codice Privacy.
A seguito dell’avvertimento ricevuto dal Garante, la Società ha, pertanto, sospeso il passaggio al legittimo interesse quale base giuridica del trattamento suddetto.
_____________________________________________________
For more information on this, please contact:
Avv.Pierangela Rodilosso
Senior Associate and Head of Privacy Team
E:rodilosso@pglegal.it